O vulnerabilitate Microsoft Teams ce afecteaza toti utilizatorii serviciului care folosesc aplicatia pe Windows, Mac sau Linux.

Zespoły Microsoft este o platforma integrata a pachetului Microsoft 365. Serviciul este utilizat la nivel global de aproape 300 milioane de utilizatori pentru video conferinte, apeluri vocale, mesaje text si stocate / schimb de fisiere. Folosit in special pentru business si office se presupune ca Microsoft Teams pentru Windows, Linux si Mac ar trebui sa aibe un standard de securitate relevant pentru vremurile actuale. Se pare totusi ca pentru Microsoft criptarea este putin importanta.

In luna august (2022) o echipa de analisti in securitate au descoperit o vulnerabilitate Microsoft Teams które, jak się wydaje, Microsoft nie było skomplikowane do rozwiązania aż do tej chwili.

Zespół Microsoft wrażliwość – Nieszyfrowany token uwierzytelniający

Wykryty problem bezpieczeństwa polega na niezaszyfrowanym przechowywaniu tokenów uwierzytelniających w aplikacji Microsoft Teams dla systemów Windows, Mac i Linux. Dokładniejsze user authentication tokens są trzymane cleartext.

Oznacza to, że jeśli atakujący uzyska dostęp do komputera, na którym jest on zainstalowany Zespoły Microsoft, będzie mógł pobrać z aplikacji dane uwierzytelniające i połączyć się z kontem ofiary. Ponadto atakujący zabezpiecza dostęp do Microsoft Graph API nawet jeśli konto jest chronione MFA (Multi-factor authentication). Aby uzyskać dostęp do plików zawierających tokeny uwierzytelniające, nie jest potrzebne żadne zaawansowane złośliwe oprogramowanie ani specjalne uprawnienia.

• Office 365 staje się Microsoft 365 z dołączonym Microsoft Team
• Kolejna luka odkryta w Javie
• Nowa krytyczna podatność na systemy internetowe Explorer Explorer
• Luka w systemie operacyjnym Windows (32-bitowy), 17 lat
• Krytyczna podatność odkryta w WooCommerce – Million sklepów internetowych może zostać naruszony

Aceasta vulnerabilitate (daca o pot numi asa) poate afecta foarte multe companii din intreaga lume. Pe Microsoft Teams se poarta conversatii de business, sedinte din cadrul organizatiilor, sesiuni de lucru in echipa, se tin interviuri de angajare si se trimit date cu caracter confidential.

Partea cea mai ingijoratoare este ca aceasta problema a fost raportata de Connor Peoples (analistul de cybersecurity) inca din luna august 2022, iar pana in acest moment (jumatatea lunii septembrie 2022) Microsoft nu a luat nicio masura.

Pana cand Microsoft va rezolva aceasta vulnerabilitate Microsoft Teams, utilizatorii se pot proteja folosind versiunea web a aplicatiei.

In 2022 pastrarea unor date sensibile in cleartext, cu atat mai mult tokens de autentificare, mi se pare ca Microsoft foloseste tehnicile anilor ’90 cand Yahoo! Messenger pasta conversatiile local in format text. Microsoft vine cu ceva in plus. Pastreaza datele de autentificare.